Documentos de Académico
Documentos de Profesional
Documentos de Cultura
, ISSN: 2477-8818
Vol. 3, núm. 4, julio, 2017, pp. 721-751
http://dx.doi.org/10.23857/dom.cien.pocaip.2017.3.4.jul. 721-751
Número Publicado el 31 de julio de 2017 URL:http://dominiodelasciencias.com/ojs/index.php/es/index
Ciencias Eléctricas
Artículo Científico
Ivette K. Carrera-Manosalvas I
Universidad de Guayaquil
Guayaquil, Ecuador
Ivette.carreram@ug.edu.ec
Ginger V. Saltos-Bernal III
Escuela Superior Politécnica Del Litoral
Eduardo S. Cruz-Ramírez II Guayaquil, Ecuador
Escuela Superior Politécnica Del Litoral gvsaltos@espol.edu.ec
Guayaquil, Ecuador
escruz@espol.edu.ec
I.
Ingeniera En Telemática; Master Of Cyber Forensics And Security; Magister En Seguridad Informática Aplicada;
Universidad De Guayaquil.
II.
Ingeniero En Ciencias Computacionales ; Magister En Seguridad Informática Aplicada ; Escuela Superior Politécnica Del
Litoral
III.
Ingeniera En Telemática; Master Of Science In Forensic Information Technology; Magister En Seguridad Informática
Aplicada; Escuela Superior Politécnica Del Litoral
Dom. Cien., ISSN: 2477-8818
Vol. 3, núm. 4, julio, 2017, pp. 721-751
Resumen
Posteriormente se procede a aclarar conceptos teóricos necesarios para la ejecución del proyecto.
En el tercer capítulo se específica paso a paso las instalaciones y configuraciones que se deben
realizar tanto en el servidor proxy como en el servidor Splunk, así como también la configuración
del proxy en la máquina que simula el usuario. Para la creación de alertas, primero se explica cómo
realizar búsquedas básicas sobre la información indexada para luego proceder a realizar búsquedas
Abstract
The present work shows the implementation of an access detection platform for malicious sites in a
The first chapter details the problem to be solved as well as the proposed solution. Subsequently, the
theoretical concepts necessary for the execution of the project are clarified.
The third chapter specifies step by step the installations and configurations that must be performed
on both the proxy server and the Splunk server, as well as the proxy configuration on the machine
that simulates the user. For the creation of alerts, first explains how to perform basic searches on the
indexed information and then proceed to perform searches compared to a list of malicious sites
previously downloaded.
Finally, tests are performed simulating a phishing attack to a user in order to verify the correct
Resumo
Este trabalho apresenta a implementação de um acesso plataforma de detecção para sites maliciosos
No primeiro capítulo e resolver o problema como a solução proposta detalhada. Em seguida, ele
proxy e o servidor Splunk, bem como configurações de proxy na máquina que simula o usuário.
Para a criação de alertas, primeiro explica como realizar pesquisas básicas sobre a informação
indexada e depois prosseguir para procurar comparando-os com uma lista de sites maliciosos
previamente baixados.
Introducción.
El crecimiento de los ataques (Dussan Clavijo, 2006) informáticos (M, 2010) (Salvadori,
2013)así como su complejidad ha creado la necesidad de encontrar maneras que permitan responder
de manera inmediata a posibles ataques (Melo, 2008). Toda la información generada por (Herrera
Burgos, 2012) aplicaciones, (ESPINAL, MONTOYA, & ARENAS, 2010)servidores (Durán,
Mondragón M., & Sánchez M., 2008), dispositivos de seguridad en las redes, (Baluja-García &
Anías-Calderón, 2006) etc. contienen información valiosa; la cual puede ayudar a identificar
amenazas de seguridad en una organización. Un análisis manual de todos estos datos tomaría
demasiado tiempo, y para cuando la organización trate de reaccionar, el atacante habrá tenido
tiempo suficiente para infiltrarse dentro de la red. Analizar todos estos datos de manera
automatizada es la clave para una rápida detección y respuesta ante posibles ataques informáticos.
Splunk provee una solución a este problema. Splunk puede recibir todo tipo de información
(Jacovkis, 2011) generada por distintos dispositivos, de tal manera que un administrador puede
investigar incidentes de seguridad en minutos permitiéndole responder a un posible ataque casi
inmediatamente
Materiales y métodos.
La información es el principal activo de una organización, teniendo como objetivo
primordial garantizar su confidencialidad, disponibilidad e integridad.
Cualquier ataque de seguridad hacia la organización que no pueda ser contenido y mitigado
de manera inmediata tendrá grandes repercusiones sobre el negocio, ya que afectará la
productividad causando pérdidas monetarias y además, afectará la imagen de la organización.
Este proyecto está orientado a la implementación de una plataforma que permita integrar
toda la información generada por los distintos dispositivos de la red en un solo lugar con el fin de
prevenir ataques de seguridad. Para ello, se hará uso de SPLUNK, el cual es un software de
agregación de datos que permite recolectar e indexar la información generada por cualquier
dispositivo en tiempo real.
SPLUNK agregará toda la información correspondiente a eventos de seguridad desde
cualquier fuente a un solo sistema, lo que nos ayudará a eliminar el problema de tener que analizar
la información en los distintos sistemas de seguridad para encontrar una amenaza.
Esta solución propone específicamente crear una plataforma que permita la detección
automatizada de accesos a sitios maliciosos, generando alertas que serán disparadas cuando
cualquier usuario de la organización visite URLs que se encuentren en el listado de sitios
maliciosos. Estas alertas serán enviadas automáticamente por email a los analistas de seguridad e
incluirán IP y nombre del equipo posiblemente infectado, permitiendo a los analistas tomar
acciones remediales.
Gracias a la implementación de la solución se podrá conocer si alguien visita un sitio malicioso en el
momento exacto en el que está ocurriendo, lo cual permitirá prevenir futuros daños en la red.
La implementación del proyecto se basa en el análisis de todos logs generados por servidores
proxy, el mismo que se encarga de controlar el acceso a internet de todos los usuarios de una
organización. Splunk es el encargado de importar todos estos logs y realizar la comparación de los
accesos de los usuarios con una lista de dominios maliciosos previamente definida y actualizada
diariamente (PHISTANK WATCHLIST). Si un usuario accede a un dominio de la lista definida,
una alerta que contiene la ip del usuario afectado, el sitio al que trata de acceder y el tiempo en el
que se disparó alerta, es enviada al analista de seguridad.
Resultados.
IMPLEMENTACIÓN
Ambiente de Prueba
Para conseguir los objetivos del proyecto es necesario configurar dos servidores y una
estación de trabajo (equipo del usuario). Los servidores pueden ser construidos en hardware o de
manera virtual dependiendo de los recursos de la organización. La Figura 3.1 muestra que el
servidor Web Proxy actúa como un gateway permitiendo o denegando el acceso a Internet a
los usuarios, además tiene instalado el componente de Splunk forwarder para enviar los logs de
acceso al servidor principal Splunk. El servidor Splunk (indexer) colecta y procesa todos los logs
enviados desde el servidor proxy y provee la interfaz donde el administrador puede realizar
búsquedas, crear reportes o configurar alertas sobre los datos indexados.
El servidor Splunk fue configurado en Windows Server 2012 (64 bit), en donde se instaló la
versión Enterprise de Splunk y se configuró una licencia de desarrollador. La licencia de
desarrollador incluye características necesarias para el proyecto como los mensajes de alertas.
Splunk está disponible en http://www.splunk.com/download/ donde puede ser descargado
gratis con una licencia de prueba de 60 días. Squid y GetWatchlist Apps para Splunk fueron
instaladas en el servidor Indexer. Squid para Splunk ayuda a reconocer los campos de los
registros del archivo access.log. Y GetWatchlist App ayuda con las búsquedas en la información
indexada, comparando la información contra datos de Fuentes externas como una lista de sitios web
maliciosos.
Sistema Operativo Windows 2013 Server 64 bits
Software Splunk Enterprise 6.1.4
Licencia Splunk Developer Personal License NOT
FOR RESALE
Dirección IP: 64.131.110.128
Splunk Apps: GetWatchlist
Splunk for Squid
pueden ser encontradas en el mismo directorio. Splunk forwarder usa el Puerto 9997 para el reenvío
de datos. El servicio ssh usa el Puerto 22.
Sistema Operativo Fedora 20 (64 bits)
Modo gráfico No es necesario
Servicios requeridos Squid
Iptables
Splunk forwarder
Dirección IP: 64.131.110.126
Puertos importantes 3128 Web Proxy service
9997 Splunk forwarder
22 ssh (acceso remoto permitido)
acl mylan src 208.59.147.202/24 #Red que navega a través del web proxy.
5.2. Click New y especificar el nombre del índice "Squid_access", el resto de opciones pueden
ser configuradas por default y click en Save.
Imagen 12
Squid para Splunk provee campos que facilitan las búsquedas sobre los archivos access.log.
La siguiente figura en la parte izquierda muestra ejemplos de los campos reconocidos gracias a la
aplicación Squid para Splunk.
Figura 18
Esta búsqueda obtiene la lista de sitios maliciosos de Phishtank donde | getwatchlist
http://data.phishtank.com/data/online-valid.csv descarga el archivo desde el sitio web,
delimiter="," específica que los datos son delimitados por comas, relevantFieldName=url
específica que el campo más importante del archivo es la URL, relevantFieldCol=2 específica que
el campo URL está ubicado en la columna 2, referenceCol=3 dateCol=4 categoryCol=8
describe los otros campos del archivo y ignoreFirstLine=true específica que no se debe incluir el
nombre de las columnas.
Figura 20
Donde phistank.csv es el archivo donde se almacenará la lista de sitios maliciosos
(watchlist).
En Run every, escoja day at midnight, deje el resto de valores por default y seleccione guardar
(save).
Figura 23
Esta búsqueda devuelve todos los usuarios que han visitado sitios que se encuentran en la
lista de sitios maliciosos (phistank.csv), donde index=squid_access devuelve todos los datos en
el índice squid y [ | inputlookup phishtank.csv | rename url as uri | fields uri] compara la URL
accedida a través de squid con el archivo csv. Inputlookup phishtank.csv específica el nombre de el
archivo usado para la comparación. Rename url as uri renombra el campo URL como URI porque
en squid el campo URL es llamado URI. Fields uri especifica que la comparación se haga
usando el campo URI.
no causa ninguna preocupación en Juan. Juan ignora lo ocurrido y continua trabajando sin conocer
que realmente sucedió.
Juan no se percató que la notificación es un correo falso y que el link lo redireccionó a un
sitio malicioso que instaló un malware en su computadora y le robó su información personal.
Bibliografía
Baluja-García, W., & Anías-Calderón, C. (2006). Amenazas y defensas de seguridad en las redes de
próxima generación. Ingeniería y Competitividad, pp. 7-16.
Durán, F. F., Mondragón M., N., & Sánchez M., M. (2008). Redes cableadas e inalámbricas para
transmisión de datos. Científica, pp. 113-118.
Jacovkis, P. M. (2011). Las TIC en América Latina: historia e impacto social. Revista
Iberoamericana de Ciencia, Tecnología y Sociedad - CTS, p.p.3.
Kent Karen & Murugiah Souppaya (2006), Guide to Computer Security Log Management (Special
Publication), National Institute of Standards and Technology.Retrieve From
:http://csrc.nist.gov/publications/nistpubs/800-92/SP800-92.pdf
Salvadori, I. (2013). La regulación de los daños informáticos en el código penal italiano. Universitat
Oberta de Catalunya, 19.